Как обнаружить вредоносные программы
Данный пост является копипастой комментария пользователя , из поста http://pikabu.ru/story/_3718870. Некоторые пользователи выразили желание увидеть этот комментарий в отдельном посте. Комментарии для минусов присутствуют.
Сам комментарий:
Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.
Для начала ставь - замена стандартному, убогому "диспетчеру задач".
Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.
В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.
Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.
В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.
С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.
Далее ставишь .
Авторы программы те же, точно так же выкуплено M$.
Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.
Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.
Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.
Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.
Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.
"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.
Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.
Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.
В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!
Сам комментарий:
Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.
Для начала ставь - замена стандартному, убогому "диспетчеру задач".
Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.
В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.
Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.
В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.
С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.
Далее ставишь .
Авторы программы те же, точно так же выкуплено M$.
Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.
Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.
Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.
Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.
Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.
"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.
Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.
Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.
В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!
Пост - фигня. Актуальность на уровне максимум 2007-2008 года, а с тех пор очень много воды утекло.
Во-первых такой "способ обнаружения" не учитывает многие современные приложения (которые как раз в AppData лезут), например свежие версии Яндекс.Браузера, Хрома, Тандерберда могут сидеть в AppData.
Во-вторых многие программы "садятся" либо в корень диска (python, dev-cpp, plone, некоторые ERP), либо вообще в "свое" место.
В-третьих очень много (больше половины) вирусов используют метод внедрения в "чистую" программу и поэтому не обнаруживаются указанными алгоритмами.
Будет время - напишу как правильно вычислять вирусы.
В общем-то все правильно и полезно для борьбы с незамысловатыми зловредами, но я бы еще несколько замечаний внес)
Во-первых - слишком много категоричности:
Сам же чуть ниже пишешь примеры вполне приличных программ, которые не подпадают под это правило. Вполне могут быть "приличные" программы и без описания. Особенно если это не основной экзешник программы, а какая-то вспомогательная приблуда. Но к таким, конечно, в любом случае стоит повнимательнее приглядеться.
Тут уж совсем бред, простите. Очень многие программы ставятся локально для каждого юзера, а не в систему. И, соответственно, живут в папках этого юзера, а не в системных. Например, хром не так давно ставился в AppData\Local. Сейчас уже по дефолту в Program Files, но если в запросе UAC при установке нажать "нет", то современный хром тоже поставит себя в AppData.
В общем каждый случай нужно рассматривать индивидуально. Эти пункты, безусловно, могут служить признаками того, что стоит присмотреться повнимательнее в программке, но не более того. Не нужно обзывать хром наркоманом и ловить его только за то, что он
поздоровался только со своей бабушкой, а не со всемиустановился для одного пользователя, а не для всех)И во-вторых, еще 5 копеек вставлю по вот-этому:
SYSTEM - это суперпользователь с неограниченными правами. Аналог рута в Юниксе. Соответственно, если вирус уже работает от имени системы, то тебя уже ничего не спасет и самое простое и действенное - это переустановка винды. Ибо от имени системы можно запросто прятаться от любых диспетчеров задач, прятать свои файлы от любых процессов и т.п.
После слов : "Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили." - можно не читать. )
Антивирус экономит много времени и ненужных действий. Я то могу сам найти вирус, но это как сказать "если у тебя хороший уролог, можно не использовать презервативы".
И еще закрывать не понравившиеся процессы через Process Explorer это точно уже по-ламерски. Есть программка AVZ, ее и используют профессионалы для написания скиптов под лечение любого вируса. Ну и файрвол обязателен, при серфинге по неизвестным сайтам. )